封掉了110.75.17.X這個IP段，屏蔽整段IP：

1	`iptables -I INPUT -s 110.75.17.0/24 -j DROP`

屏蔽兩段ip，

放行這個IP段中的110.75.17.76這個IP
使用iptables命令，

iptables -A INPUT -m iprange --src-range 110.75.17.1-110.75.17.75 -j DROP

iptables -I INPUT -m iprange --src-range 110.75.17.77-110.75.17.255 -j DROP

iptables命令

常用命令列表：
命令 -A, --append
範例 iptables -A INPUT ...
說明新增規則到某個規則煉中，該規則將會成爲規則煉中的最後一條規則。
命令 -D, --delete
範例 iptables -D INPUT --dport 80 -j DROP
iptables -D INPUT 1
說明從某個規則煉中刪除一條規則，可以輸入完整規則，或直接指定規則編號加以刪除。
命令 -R, --replace
範例 iptables -R INPUT 1 -s 192.168.0.1 -j DROP
說明取代現行規則，規則被取代後並不會改變順序。
命令 -I, --insert
範例 iptables -I INPUT 1 --dport 80 -j ACCEPT
說明插入一條規則，原本該位置上的規則將會往後移動一個順位。
命令 -L, --list
範例 iptables -L INPUT
說明列出某規則煉中的所有規則。
命令 -F, --flush
範例 iptables -F INPUT
說明刪除某規則煉中的所有規則。
命令 -Z, --zero
範例 iptables -Z INPUT
說明將封包計數器歸零。封包計數器是用來計算同一封包出現次數，是過濾阻斷式攻擊不可或缺的工具。
命令 -N, --new-chain
範例 iptables -N allowed
說明定義新的規則煉。
命令 -X, --delete-chain
範例 iptables -X allowed
說明刪除某個規則煉。
命令 -P, --policy
範例 iptables -P INPUT DROP
說明定義過濾政策。也就是未符合過濾條件之封包，預設的處理方式。
命令 -E, --rename-chain
範例 iptables -E allowed disallowed
說明修改某自訂規則煉的名稱。
常用封包比對參數：
參數 -p, --protocol
範例 iptables -A INPUT -p tcp
說明比對通訊協議類型是否相符，可以使用 ! 運算子進行反向比對，例如：-p ! tcp ，意思是指除 tcp 以外的其它類型，包含 udp、icmp ...等。如果要比對所有類型，則可以使用 all 關鍵詞，例如：-p all。
參數 -s, --src, --source
範例 iptables -A INPUT -s 192.168.1.1
說明用來比對封包的來源 IP，可以比對單機或網絡，比對網絡時請用數字來表示屏蔽，例如：-s 192.168.0.0/24，比對 IP 時也可以使用 ! 運算子進行反向比對，例如：-s ! 192.168.0.0/24。
參數 -d, --dst, --destination
範例 iptables -A INPUT -d 192.168.1.1
說明用來比對封包的目的地 IP，設定方式同上。
參數 -i, --in-interface
範例 iptables -A INPUT -i eth0
說明用來比對封包是從哪片網卡進入，可以使用通配字符 + 來做大範圍比對，例如：-i eth+ 表示所有的 ethernet 網卡，也可以使用 ! 運算子進行反向比對，例如：-i ! eth0。
參數 -o, --out-interface
範例 iptables -A FORWARD -o eth0
說明用來比對封包要從哪片網卡送出，設定方式同上。
參數 --sport, --source-port
範例 iptables -A INPUT -p tcp --sport 22
說明用來比對封包的來源埠號，可以比對單一埠，或是一個範圍，例如：--sport 22:80，表示從 22 到 80
埠之間都算是符合條件，如果要比對不連續的多個埠，則必須使用 --multiport 參數，詳見後文。比對埠號時，可以使用 !
運算子進行反向比對。
參數 --dport, --destination-port
範例 iptables -A INPUT -p tcp --dport 22
說明用來比對封包的目的地埠號，設定方式同上。
參數 --tcp-flags
範例 iptables -p tcp --tcp-flags SYN,FIN,ACK SYN
說明比對 TCP
封包的狀態旗號，參數分爲兩個部分，第一個部分列舉出想比對的旗號，第二部分則列舉前述旗號中哪些有被設定，未被列舉的旗號必須是空的。TCP
狀態旗號包括：SYN（同步）、ACK（應答）、FIN（結束）、RST（重設）、URG（緊急）、PSH（強迫推送）
等均可使用於參數中，除此之外還可以使用關鍵詞 ALL 和 NONE 進行比對。比對旗號時，可以使用 ! 運算子進行反向比對。
參數 --syn
範例 iptables -p tcp --syn
說明用來比對是否爲要求聯機之 TCP 封包，與 iptables -p tcp --tcp-flags SYN,FIN,ACK SYN 的作用完全相同，如果使用 ! 運算子，可用來比對非要求聯機封包。
參數 -m multiport --source-port
範例 iptables -A INPUT -p tcp -m multiport --source-port 22,53,80,110
說明用來比對不連續的多個來源埠號，一次最多可以比對 15 個埠，可以使用 ! 運算子進行反向比對。
參數 -m multiport --destination-port
範例 iptables -A INPUT -p tcp -m multiport --destination-port 22,53,80,110
說明用來比對不連續的多個目的地埠號，設定方式同上。
參數 -m multiport --port
範例 iptables -A INPUT -p tcp -m multiport --port 22,53,80,110
說明這個參數比較特殊，用來比對來源埠號和目的埠號相同的封包，設定方式同上。注意：在本範例中，如果來源端口號爲 80 但目的地埠號爲 110，這種封包並不算符合條件。
參數 --icmp-type
範例 iptables -A INPUT -p icmp --icmp-type 8
說明用來比對 ICMP 的類型編號，可以使用代碼或數字編號來進行比對。請打 iptables -p icmp --help 來查看有哪些代碼可以用。
參數 -m limit --limit
範例 iptables -A INPUT -m limit --limit 3/hour
說明用來比對某段時間內封包的平均流量，上面的例子是用來比對：每小時平均流量是否超過一次 3 個封包。
除了每小時平均一次外，也可以每秒鐘、每分鐘或每天平均一次，默認值爲每小時平均一次，參數如後： /second、 /minute、/day。
除了進行封包數量的比對外，設定這個參數也會在條件達成時，暫停封包的比對動作，以避免因駭客使用洪水攻擊法，導致服務被阻斷。
參數 --limit-burst
範例 iptables -A INPUT -m limit --limit-burst 5
說明用來比對瞬間大量封包的數量，上面的例子是用來比對一次同時湧入的封包是否超過 5 個（這是默認值），超過此上限的封包將被直接丟棄。使用效果同上。
參數 -m mac --mac-source
範例 iptables -A INPUT -m mac --mac-source 00:00:00:00:00:01
說明用來比對封包來源網絡接口的硬件地址，這個參數不能用在 OUTPUT 和 Postrouting
規則煉上，這是因爲封包要送出到網卡後，才能由網卡驅動程序透過 ARP 通訊協議查出目的地的 MAC 地址，所以 iptables
在進行封包比對時，並不知道封包會送到哪個網絡接口去。
參數 --mark
範例 iptables -t mangle -A INPUT -m mark --mark 1
說明用來比對封包是否被表示某個號碼，當封包被比對成功時，我們可以透過 MARK 處理動作，將該封包標示一個號碼，號碼最大不可以超過 4294967296。
參數 -m owner --uid-owner
範例 iptables -A OUTPUT -m owner --uid-owner 500
說明用來比對來自本機的封包，是否爲某特定使用者所產生的，這樣可以避免服務器使用 root 或其它身分將敏感數據傳送出去，可以降低系統被駭的損失。可惜這個功能無法比對出來自其它主機的封包。
參數 -m owner --gid-owner
範例 iptables -A OUTPUT -m owner --gid-owner 0
說明用來比對來自本機的封包，是否爲某特定使用者羣組所產生的，使用時機同上。
參數 -m owner --pid-owner
範例 iptables -A OUTPUT -m owner --pid-owner 78
說明用來比對來自本機的封包，是否爲某特定行程所產生的，使用時機同上。
參數 -m owner --sid-owner
範例 iptables -A OUTPUT -m owner --sid-owner 100
說明用來比對來自本機的封包，是否爲某特定聯機（Session ID）的響應封包，使用時機同上。
參數 -m state --state
範例 iptables -A INPUT -m state --state RELATED,ESTABLISHED
說明用來比對聯機狀態，聯機狀態共有四種：INVALID、ESTABLISHED、NEW 和 RELATED。
INVALID 表示該封包的聯機編號（Session ID）無法辨識或編號不正確。
ESTABLISHED 表示該封包屬於某個已經建立的聯機。
NEW 表示該封包想要起始一個聯機（重設聯機或將聯機重導向）。
RELATED 表示該封包是屬於某個已經建立的聯機，所建立的新聯機。例如：FTP-DATA 聯機必定是源自某個 FTP 聯機。
常用的處理動作：
-j 參數用來指定要進行的處理動作，常用的處理動作包括：ACCEPT、REJECT、DROP、REDIRECT、MASQUERADE、LOG、DNAT、SNAT、MIRROR、QUEUE、RETURN、MARK，分別說明如下：
ACCEPT 將封包放行，進行完此處理動作後，將不再比對其它規則，直接跳往下一個規則煉（nat:postrouting）。
REJECT 攔阻該封包，並傳送封包通知對方，可以傳送的封包有幾個選擇：ICMP port-unreachable、ICMP
echo-reply 或是 tcp-reset（這個封包會要求對方關閉聯機），進行完此處理動作後，將不再比對其它規則，直接中斷過濾程序。
範例如下：
iptables -A FORWARD -p TCP --dport 22 -j REJECT --reject-with tcp-reset
DROP 丟棄封包不予處理，進行完此處理動作後，將不再比對其它規則，直接中斷過濾程序。
REDIRECT 將封包重新導向到另一個端口（PNAT），進行完此處理動作後，將會繼續比對其它規則。這個功能可以用來實作通透式 porxy
或用來保護 web 服務器。例如：iptables -t nat -A PREROUTING -p tcp --dport 80 -j
REDIRECT --to-ports 8080
MASQUERADE 改寫封包來源 IP 爲防火牆 NIC IP，可以指定 port
對應的範圍，進行完此處理動作後，直接跳往下一個規則煉（mangle:postrouting）。這個功能與 SNAT 略有不同，當進行 IP
僞裝時，不需指定要僞裝成哪個 IP，IP 會從網卡直接讀取，當使用撥接連線時，IP 通常是由 ISP 公司的 DHCP 服務器指派的，這個時候
MASQUERADE 特別有用。範例如下：
iptables -t nat -A POSTROUTING -p TCP -j MASQUERADE --to-ports 1024-31000
LOG 將封包相關訊息紀錄在 /var/log 中，詳細位置請查閱 /etc/syslog.conf 組態檔，進行完此處理動作後，將會繼續比對其它規則。例如：
iptables -A INPUT -p tcp -j LOG --log-prefix "INPUT packets"
SNAT 改寫封包來源 IP 爲某特定 IP 或 IP 範圍，可以指定 port 對應的範圍，進行完此處理動作後，將直接跳往下一個規則煉（mangle:postrouting）。範例如下：
iptables -t nat -A POSTROUTING -p tcp-o eth0 -j SNAT --to-source 194.236.50.155-194.236.50.160:1024-32000
DNAT 改寫封包目的地 IP 爲某特定 IP 或 IP 範圍，可以指定 port 對應的範圍，進行完此處理動作後，將會直接跳往下一個規則煉（filter:input 或 filter:forward）。範例如下：
iptables -t nat -A PREROUTING -p tcp -d 15.45.23.67 --dport 80 -j DNAT --to-destination 192.168.1.1-192.168.1.10:80-100
MIRROR 鏡射封包，也就是將來源 IP 與目的地 IP 對調後，將封包送回，進行完此處理動作後，將會中斷過濾程序。
QUEUE 中斷過濾程序，將封包放入隊列，交給其它程序處理。透過自行開發的處理程序，可以進行其它應用，例如：計算聯機費用.......等。
RETURN 結束在目前規則煉中的過濾程序，返回主規則煉繼續過濾，如果把自訂規則煉看成是一個子程序，那麼這個動作，就相當於提早結束子程序並返回到主程序中。
MARK 將封包標上某個代號，以便提供作爲後續過濾的條件判斷依據，進行完此處理動作後，將會繼續比對其它規則。範例如下：
iptables -t mangle -A PREROUTING -p tcp --dport 22 -j MARK --set-mark 2

iptables 命令介紹

原文鏈接

iptables防火牆可以用於創建過濾(filter)與NAT規則。所有Linux發行版都能使用iptables，因此理解如何配置iptables將會幫助你更有效地管理Linux防火牆。如果你是第一次接觸iptables，你會覺得它很複雜，但是一旦你理解iptables的工作原理，你會發現其實它很簡單。

首先介紹iptables的結構：iptables -> Tables -> Chains -> Rules. 簡單地講，tables由chains組成，而chains又由rules組成。如下圖所示。

圖: IPTables Table, Chain, and Rule Structure

一、iptables的表與鏈

iptables具有Filter, NAT, Mangle, Raw四種內建表：

1. Filter表

Filter表示iptables的默認表，因此如果你沒有自定義表，那麼就默認使用filter表，它具有以下三種內建鏈：

INPUT鏈 – 處理來自外部的數據。
OUTPUT鏈 – 處理向外發送的數據。
FORWARD鏈 – 將數據轉發到本機的其他網卡設備上。

2. NAT表

NAT表有三種內建鏈：

PREROUTING鏈 – 處理剛到達本機並在路由轉發前的數據包。它會轉換數據包中的目標IP地址（destination ip address），通常用於DNAT(destination NAT)。
POSTROUTING鏈 – 處理即將離開本機的數據包。它會轉換數據包中的源IP地址（source ip address），通常用於SNAT（source NAT）。
OUTPUT鏈 – 處理本機產生的數據包。

3. Mangle表

Mangle表用於指定如何處理數據包。它能改變TCP頭中的QoS位。Mangle表具有5個內建鏈：

PREROUTING
OUTPUT
FORWARD
INPUT
POSTROUTING

4. Raw表

Raw表用於處理異常，它具有2個內建鏈：

PREROUTING chain
OUTPUT chain

5.小結

下圖展示了iptables的三個內建表：

圖: IPTables 內建表

二、IPTABLES 規則(Rules)

牢記以下三點式理解iptables規則的關鍵：

Rules包括一個條件和一個目標(target)
如果滿足條件，就執行目標(target)中的規則或者特定值。
如果不滿足條件，就判斷下一條Rules。

目標值（Target Values）

下面是你可以在target裏指定的特殊值：

ACCEPT – 允許防火牆接收數據包
DROP – 防火牆丟棄包
QUEUE – 防火牆將數據包移交到用戶空間
RETURN – 防火牆停止執行當前鏈中的後續Rules，並返回到調用鏈(the calling chain)中。

如果你執行iptables --list你將看到防火牆上的可用規則。下例說明當前系統沒有定義防火牆，你可以看到，它顯示了默認的filter表，以及表內默認的input鏈, forward鏈, output鏈。

# iptables -t filter --list
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

查看mangle表：

# iptables -t mangle --list

查看NAT表：

# iptables -t nat --list

查看RAW表：

# iptables -t raw --list

/!\注意：如果不指定-t選項，就只會顯示默認的filter表。因此，以下兩種命令形式是一個意思：

# iptables -t filter --list
(or)
# iptables --list

以下例子表明在filter表的input鏈, forward鏈, output鏈中存在規則：

# iptables --list
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination
1    RH-Firewall-1-INPUT  all  --  0.0.0.0/0            0.0.0.0/0

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination
1    RH-Firewall-1-INPUT  all  --  0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination

Chain RH-Firewall-1-INPUT (2 references)
num  target     prot opt source               destination
1    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
2    ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 255
3    ACCEPT     esp  --  0.0.0.0/0            0.0.0.0/0
4    ACCEPT     ah   --  0.0.0.0/0            0.0.0.0/0
5    ACCEPT     udp  --  0.0.0.0/0            224.0.0.251         udp dpt:5353
6    ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:631
7    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:631
8    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
9    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
10   REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

以上輸出包含下列字段：

- num – 指定鏈中的規則編號

- target – 前面提到的target的特殊值

- prot – 協議：tcp, udp, icmp等

- source – 數據包的源IP地址

destination – 數據包的目標IP地址

三、清空所有iptables規則

在配置iptables之前，你通常需要用iptables --list命令或者iptables-save命令查看有無現存規則，因爲有時需要刪除現有的iptables規則：

iptables --flush
或者
iptables -F

這兩條命令是等效的。但是並非執行後就萬事大吉了。你仍然需要檢查規則是不是真的清空了，因爲有的linux發行版上這個命令不會清除NAT表中的規則，此時只能手動清除：

iptables -t NAT -F

四、永久生效

當你刪除、添加規則後，這些更改並不能永久生效，這些規則很有可能在系統重啓後恢復原樣。爲了讓配置永久生效，根據平臺的不同，具體操作也不同。下面進行簡單介紹：

1.Ubuntu

首先，保存現有的規則：

iptables-save > /etc/iptables.rules

然後新建一個bash腳本，並保存到/etc/network/if-pre-up.d/目錄下：

#!/bin/bash
iptables-restore < /etc/iptables.rules

這樣，每次系統重啓後iptables規則都會被自動加載。
/!\注意：不要嘗試在.bashrc或者.profile中執行以上命令，因爲用戶通常不是root，而且這隻能在登錄時加載iptables規則。

2.CentOS, RedHat

# 保存iptables規則
service iptables save

# 重啓iptables服務
service iptables stop
service iptables start

查看當前規則：

cat  /etc/sysconfig/iptables

五、追加iptables規則

可以使用iptables -A命令追加新規則，其中-A表示Append。因此，新的規則將追加到鏈尾。
一般而言，最後一條規則用於丟棄(DROP)所有數據包。如果你已經有這樣的規則了，並且使用-A參數添加新規則，那麼就是無用功。

1.語法

iptables -A chain firewall-rule

-A chain – 指定要追加規則的鏈
firewall-rule – 具體的規則參數

2.描述規則的基本參數

以下這些規則參數用於描述數據包的協議、源地址、目的地址、允許經過的網絡接口，以及如何處理這些數據包。這些描述是對規則的基本描述。

-p 協議（protocol）

指定規則的協議，如tcp, udp, icmp等，可以使用all來指定所有協議。
如果不指定-p參數，則默認是all值。這並不明智，請總是明確指定協議名稱。
可以使用協議名(如tcp)，或者是協議值（比如6代表tcp）來指定協議。映射關係請查看/etc/protocols
還可以使用–protocol參數代替-p參數

-s 源地址（source）

指定數據包的源地址
參數可以使IP地址、網絡地址、主機名
例如：-s 192.168.1.101指定IP地址
例如：-s 192.168.1.10/24指定網絡地址
如果不指定-s參數，就代表所有地址
還可以使用–src或者–source

-d 目的地址（destination）

指定目的地址
參數和-s相同
還可以使用–dst或者–destination

-j 執行目標（jump to target）

-j代表”jump to target”
-j指定了當與規則(Rule)匹配時如何處理數據包
可能的值是ACCEPT, DROP, QUEUE, RETURN
還可以指定其他鏈（Chain）作爲目標

-i 輸入接口（input interface）

-i代表輸入接口(input interface)
-i指定了要處理來自哪個接口的數據包
這些數據包即將進入INPUT, FORWARD, PREROUTE鏈
例如：-i eth0指定了要處理經由eth0進入的數據包
如果不指定-i參數，那麼將處理進入所有接口的數據包
如果出現! -i eth0，那麼將處理所有經由eth0以外的接口進入的數據包
如果出現-i eth+，那麼將處理所有經由eth開頭的接口進入的數據包
還可以使用–in-interface參數

-o 輸出（out interface）

-o代表”output interface”
-o指定了數據包由哪個接口輸出
這些數據包即將進入FORWARD, OUTPUT, POSTROUTING鏈
如果不指定-o選項，那麼系統上的所有接口都可以作爲輸出接口
如果出現! -o eth0，那麼將從eth0以外的接口輸出
如果出現-i eth+，那麼將僅從eth開頭的接口輸出
還可以使用–out-interface參數

3.描述規則的擴展參數

對規則有了一個基本描述之後，有時候我們還希望指定端口、TCP標誌、ICMP類型等內容。

–sport 源端口（source port）針對 -p tcp 或者 -p udp

缺省情況下，將匹配所有端口
可以指定端口號或者端口名稱，例如”–sport 22″與”–sport ssh”。
/etc/services文件描述了上述映射關係。
從性能上講，使用端口號更好
使用冒號可以匹配端口範圍，如”–sport 22:100″
還可以使用”–source-port”

–-dport 目的端口（destination port）針對-p tcp 或者 -p udp

參數和–sport類似
還可以使用”–destination-port”

-–tcp-flags TCP標誌針對-p tcp

可以指定由逗號分隔的多個參數
有效值可以是：SYN, ACK, FIN, RST, URG, PSH
可以使用ALL或者NONE

-–icmp-type ICMP類型針對-p icmp

–icmp-type 0 表示Echo Reply
–icmp-type 8 表示Echo

4.追加規則的完整實例：僅允許SSH服務

本例實現的規則將僅允許SSH數據包通過本地計算機，其他一切連接（包括ping）都將被拒絕。

# 1.清空所有iptables規則
iptables -F

# 2.接收目標端口爲22的數據包
iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT

# 3.拒絕所有其他數據包
iptables -A INPUT -j DROP

六、更改默認策略

上例的例子僅對接收的數據包過濾，而對於要發送出去的數據包卻沒有任何限制。本節主要介紹如何更改鏈策略，以改變鏈的行爲。

1. 默認鏈策略

/!\警告：請勿在遠程連接的服務器、虛擬機上測試！
當我們使用-L選項驗證當前規則是發現，所有的鏈旁邊都有policy ACCEPT標註，這表明當前鏈的默認策略爲ACCEPT：

# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh
DROP       all  --  anywhere             anywhere            

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

這種情況下，如果沒有明確添加DROP規則，那麼默認情況下將採用ACCEPT策略進行過濾。除非：
a)爲以上三個鏈單獨添加DROP規則：

iptables -A INPUT -j DROP
iptables -A OUTPUT -j DROP
iptables -A FORWARD -j DROP

b)更改默認策略：

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

糟糕！！如果你嚴格按照上一節的例子配置了iptables，並且現在使用的是SSH進行連接的，那麼會話恐怕已經被迫終止了！
爲什麼呢？因爲我們已經把OUTPUT鏈策略更改爲DROP了。此時雖然服務器能接收數據，但是無法發送數據：

# iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh
DROP       all  --  anywhere             anywhere            

Chain FORWARD (policy DROP)
target     prot opt source               destination         

Chain OUTPUT (policy DROP)
target     prot opt source               destination

七、配置應用程序規則

儘管5.4節已經介紹瞭如何初步限制除SSH以外的其他連接，但是那是在鏈默認策略爲ACCEPT的情況下實現的，並且沒有對輸出數據包進行限制。本節在上一節基礎上，以SSH和HTTP所使用的端口爲例，教大家如何在默認鏈策略爲DROP的情況下，進行防火牆設置。在這裏，我們將引進一種新的參數-m state，並檢查數據包的狀態字段。

1.SSH

# 1.允許接收遠程主機的SSH請求
iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT

# 2.允許發送本地主機的SSH響應
iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

-m state: 啓用狀態匹配模塊（state matching module）
–-state: 狀態匹配模塊的參數。當SSH客戶端第一個數據包到達服務器時，狀態字段爲NEW；建立連接後數據包的狀態字段都是ESTABLISHED
–sport 22: sshd監聽22端口，同時也通過該端口和客戶端建立連接、傳送數據。因此對於SSH服務器而言，源端口就是22
–dport 22: ssh客戶端程序可以從本機的隨機端口與SSH服務器的22端口建立連接。因此對於SSH客戶端而言，目的端口就是22

如果服務器也需要使用SSH連接其他遠程主機，則還需要增加以下配置：

# 1.送出的數據包目的端口爲22
iptables -A OUTPUT -o eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT

# 2.接收的數據包源端口爲22
iptables -A INPUT -i eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

2.HTTP

HTTP的配置與SSH類似：

# 1.允許接收遠程主機的HTTP請求
iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT

# 1.允許發送本地主機的HTTP響應
iptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT

3.完整的配置

# 1.刪除現有規則
iptables -F

# 2.配置默認鏈策略
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

# 3.允許遠程主機進行SSH連接
iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

# 4.允許本地主機進行SSH連接
iptables -A OUTPUT -o eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

# 5.允許HTTP請求
iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
一、組網需求 
PC作爲客戶端，訪問FTP服務器下載資源

屏蔽整段IP和iptables應用